Исследователи «Лаборатории Касперского» подробный анализ беспроводного протокола с низким энергопотреблением Zigbee, используемого для автоматизации как в домашних условиях, так и в промышленности. В статье исследуется безопасность систем на базе данного протокола и предлагаются варианты потенциальных атак, которые стоит учесть при разработке методик защиты для индустриальных систем.
Важными преимуществами протокола являются низкое энергопотребление и поддержка ячеистой топологии: устройства могут передавать данные по цепочке, таким образом расширяя покрытие сети. Большая площадь покрытия также обеспечивается благодаря возможности объединения в единую сеть большого количества устройств — до нескольких тысяч. Протоколом предусмотрены три основных типа устройств: координатор, осуществляющий контроль устройств, маршрутизатор и конечные устройства. В статье анализируются потенциальные атаки прикладного уровня и рассматриваются два вектора: инъекция поддельных пакетов данных и подмена координатора.
Основным препятствием для атак с инъекцией пакетов данных является шифрование. Эксперты «Лаборатории Касперского» приводят несколько сценариев, при которых этот уровень защиты можно взломать. Для каждого подключаемого устройства создается так называемый связной ключ, в зависимости от модификации они могут быть как предустановленные, так и заданные протоколом обмена ключами. В ранних версиях Zigbee до 3.0 для упрощения тестирования использовался стандартный связной ключ, известный как ZigBeeAlliance09. На потребительских устройствах он должен быть выключен, но довольно часто производители забывали это сделать, что значительно упрощало расшифровку данных. Более новые версии протокола предусмотрели генерацию уникальных ключей для каждого устройства, но некоторые производители по-прежнему используют жестко заданные ключи шифрования данных.
Таким образом, перехват ключа шифрования возможен, если используется универсальный ключ для всех устройств либо типовой ключ для конкретного производителя. Производителя устройства можно определить, проанализировав MAC-адреса устройств в сети, которые передаются открытым текстом. Также для поиска вшитых ключей возможен анализ прошивки. В статье подробно рассматривается оборудование для мониторинга передачи данных в сети Zigbee и инъекции пакетов (недорогое устройство nRF52840 компании Nordic Semiconductor). Рассмотрен наиболее опасный сценарий, при котором «поддельное» устройство передает команду на переключение реле. Также анализируется вариант, когда контроллер общается с конечными устройствами по проприетарному прикладному протоколу, который предварительно требуется подвергнуть реверс-инжинирингу.
Второй сценарий атаки предусматривает подмену координатора: в этом случае конечное устройство заставляют выйти из существующей сети и подключиться к новой, создаваемой потенциальным атакующим. Для этого используется механизм разрешения конфликтов, когда конечное устройство видит два разных контроллера с одинаковым идентификатором (PAN ID) и выбирает устройство злоумышленников. Это достаточно сложная атака, использующая тонкости работы Zigbee: по сути, атакующему потребуется достоверно (для конечного устройства) воссоздать часть сети, да еще и убедить присоединиться не к легитимному координатору, а к фальшивому. Это можно сделать, например, заглушив сигнал от реального координатора. Возможно также воспользоваться полем данных Update ID. В обычной ситуации этот счетчик сигнализирует об изменении конфигурации сети. Но если задать на фальшивом координаторе значение Update ID больше, чем на легитимном, в некоторых случаях (это зависит от конкретной версии стека) конечное устройство предпочтет фальшивый координатор. Для тестирования данного сценария исследователи подготовили код, который опубликовали , причем для написания был использован как Python, так и C. Последний — для выполнения критических по времени операций обмена данными.
Авторы статьи отмечают, что тестировать безопасность сетей Zigbee достаточно сложно — как это видно на примере конкретных двух атак, в тексте при этом названных «простыми». При тестировании придется разрабатывать собственные инструменты и прошивки устройств, так как готовые решения часто неприменимы. Операторам сетей Zigbee в промышленности рекомендуется использовать функциональность из самых свежих спецификаций протокола, а также избегать применения в сети стандартных ключей шифрования данных.
Что еще произошлоВ других свежих публикациях «Лаборатории Касперского» по определению активности популярных фреймворков постэксплуатации в сетевом трафике на примере опенсорсного проекта Mythic; исследуется банковский троян , атакующий пользователей в Турции; а также типичные атаки с эксплуатацией критической уязвимости CVE-2025-55182 в React Server Components (мы о ней в предыдущем дайджесте).
Свежие патчи: Microsoft в ежемесячном обновлении три уязвимости нулевого дня — две в Windows и еще одну в GitHub Copilot. В браузере Google Chrome восьмая за этот год активно эксплуатируемая уязвимость. Еще две проблемы класса zero-day компанией Apple в браузерном движке WebKit. Кроме того, в свежей версии редактора Notepad++ , теоретически позволявшая задействовать встроенную систему обновления для установки вредоносного ПО.
Корпорация MITRE очередной рейтинг наиболее опасных проблем в программном обеспечении (Common Weaknesses) за 2025 год — речь идет не о конкретных уязвимостях, а о типах ошибок в коде. На первом месте, как и в прошлом году, класс уязвимостей Cross-Site Scripting. Серьезно поднялась в рейтинге категория проблем, связанных с отсутствием авторизации. В ТОП 5 также присутствуют SQL-инъекции, Cross-Site Request Forgery и ошибки записи за пределы выделенного диапазона.
Издание BleepingComputer о новой волне мошеннических рассылок, использующих особенности платежной системы PayPal, — так, что поддельные сообщения о якобы произошедшей транзакции рассылаются с серверов PayPal. В этот раз была задействована фича платежной системы, позволяющая пользователям подписываться на определенные услуги. «Отмена» такой «подписки» для произвольного пользователя и приводит к отправке письма от PayPal, текст которого модифицируется злоумышленником, — добавляется просьба позвонить по определенному телефонному номеру якобы для решения проблемы.
Разработчики Microsoft Teams тестируют фичу, позволяющую администраторов об аномальном трафике в мессенджере. Детектирование аномальных коммуникаций теоретически поможет предотвратить эксфильтрацию данных.
Компания Flare проанализировала образы Docker в публичном репозитории Docker Hub и тысячи случаев утечки приватных данных, таких как ключи доступа к приватным системам.
Bitdefender о курьезном случае распространения вредоносного кода на торрентах, в раздаче с новым фильмом «Битва за битвой». Вместо фильма, впрочем, скачивается исполняемый файл, а сам вредоносный код, для усложнения детектирования, запрятан в текстовый документ с субтитрами.
Интересный post-mortem заражения с помощью вредоносного npm-пакета компания . В документе подробно описываются последствия заражения, попытки развития атаки и действия организации по устранению угрозы.
